Divulgation complète

En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels. Ces défauts sont appelés des vulnérabilités informatiques. Le processus par lequel l'information sur ces vulnérabilités est partagée avec des tiers fait l'objet de nombreux débats et est désigné comme la politique de divulgation des vulnérabilités. Le but principal de la divulgation complète des vulnérabilités est de permettre que les victimes potentielles des vulnérabilités sont aussi informées que les pirates qui les attaquent. Dans son essai sur le sujet, Bruce Schneier a déclaré que « La divulgation complète - la pratique consistant à rendre publiques les vulnérabilités de sécurité - est une très bonne chose. L'examen public est le seul moyen fiable d'améliorer la sécurité, alors que le secret ne nous rend que plus vulnérables. Leonard Rose, cocréateur d'une liste de diffusion électronique qui a remplacé bugtraq pour devenir le forum de facto pour la diffusion d'avis de sécurité, mentionne que « nous ne croyons pas à la sécurité par l'obscurité et, de notre point de vue, la divulgation complète est la seule façon de s'assurer que tout le monde, et pas seulement les initiés, ont accès à l'information dont ils ont besoin. ». La controverse sur la divulgation publique d'informations sensibles sur les vulnérabilités n'est pas nouvelle. La question de la divulgation complète a d'abord été soulevée dans le contexte de la serrurerie, lors d'une controverse dans la communauté des serruriers au concernant la divulgation des faiblesses des systèmes de verrouillage.

À propos de ce résultat

Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.

Concepts associés (4)

Séances de cours associées (1)

Vulnérabilité (informatique)

Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à l'intégrité des données qu'il contient. Ces vulnérabilités sont la conséquence de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou logiciel du système, mais il s'agit souvent d'anomalies logicielles liées à des erreurs de programmation ou à de mauvaises pratiques.

Divulgation complète

Hacker (sécurité informatique)

En sécurité informatique, le terme hacker, francisé hackeur ou hackeuse, désigne une personne qui recherche les moyens de contourner les protections logicielles et matérielles. Il agit par curiosité, à la recherche de la gloire, par conscience politique, contre rémunération, ou bien par vengeance ou malveillance. L'usage dans ce sens est contesté par la sous-culture du même nom, qui propose le terme cracker pour le remplacer, sans qu'il parvienne à s'imposer.

Pensée antagoniste: Défenseur - Modélisation des menaces COM-301: Computer security

Plonge dans la pensée contradictoire et les méthodologies de modélisation des menaces pour améliorer les stratégies de défense.